試題詳解

30. 題組背景描述如附圖。關於資訊安全管理系統(Information Security Management System, ISMS)提供的風險評鑑方法，藉由資產分類，並判 斷其價值與重要性，作出弱點及威脅分析，進行風險分析、風險評估 及風險處理的規劃流程，對 C 公司而言，在企業有限的資源下，下列 何者在風險控管處理上較「不」適切？
(A) 根據風險評估與業務營運衝擊做出的決定相關資安資源投入的多 寡
(B) 風險評估完成後，所有風險項目必須擬訂風險改善計畫，明定管 理階層的責任範圍與一般步驟處理
(C) 由風險值之高低決定風險控管之優先順序，風險處理對策應採取 適當的控制措施與風險避免的方法，以達到降低風險發生機率或 影響程度
(D) 極度危險的風險，就需要立即採取行動，高度危險的風險，管理 階層需督導所屬研擬計畫並提供資源，但是發生機率低的項目可 以採用風險分擔模式